TA456 bị phát hiện là thủ phạm của một chiến dịch tấn công mạng xã hội và nhắm mục tiêu phần mềm độc hại thay mặt chính phủ Iran sau nhiều năm đóng giả một người hướng dẫn thể dục nhịp điệu trên Facebook, theo Proofpoint .
Băng nhóm tội phạm mạng do nhà nước Iran tài trợ đã phát triển mối liên hệ với một nhân viên làm việc tại công ty con của một nhà thầu quốc phòng hàng không vũ trụ bằng cách sử dụng nhân vật truyền thông xã hội Marcella Flores. Mối quan hệ được duy trì trên các nền tảng giao tiếp cá nhân và công ty.
Bằng cách gửi phần mềm độc hại mục tiêu thông qua một chuỗi liên lạc email đang diễn ra, kẻ đe dọa đã cố gắng lợi dụng mối quan hệ này vào những tháng đầu tháng 6 năm 2021. Bài báo chứa đầy macro dự định được sử dụng để tiến hành do thám trên máy tính của mục tiêu, đã được cá nhân hóa tài liệu và nêu bật ý nghĩa mà TA456 đặt vào mục tiêu.
Phần mềm độc hại có thể lấy thông tin quan trọng qua SMTPS đến tài khoản email do tác nhân kiểm soát, thiết lập tính bền vững trên máy bị nhiễm, cung cấp thông tin chi tiết do thám cho máy chủ, thực hiện do thám trên máy và cuối cùng xóa các tạo tác máy chủ từ ngày hôm trước.
Tội phạm mạng do nhà nước bảo trợ tiếp tục sử dụng các chiến dịch kỹ thuật xã hội
Chiến dịch này minh họa bản chất dai dẳng của các mối nguy hiểm cụ thể liên quan đến nhà nước và cam kết của con người trong việc hỗ trợ các hoạt động gián điệp. Vào giữa tháng 7, Facebook đã hạ gục một mạng lưới những người tương tự có liên quan đến phần mềm độc hại Tortoiseshell.
Theo nghiên cứu của Proofpoint, trong 8 tháng qua, Marcella (Marcy) Flores đã gửi email, hình ảnh và video lành tính cho nạn nhân của TA456 để thiết lập uy tín và xây dựng mối quan hệ với nạn nhân. Tại một thời điểm, TA456 đã cố gắng gửi một video tán tỉnh nhưng vô hại qua URL OneDrive, nhưng không thành công.
Một liên kết OneDrive khác, lần này với mục đích là một cuộc khảo sát về chế độ ăn uống, được cung cấp bởi một diễn viên TA456 tên là Marcy vào khoảng đầu tháng Sáu. Kể từ đó, Facebook đã gỡ tài khoản của Flores như một phần của nỗ lực lớn hơn nhằm xác định và hủy kích hoạt các cá nhân có liên quan đến hoạt động của hacker Iran.
Nguồn: https://news.softpedia.com/
